106 Views
img

حمله رباتی: فیس بوک و باگ 19 ساله - وب سایت های عظیم هنوز در معرض خطر هستند!



فیس بوک به گروهی از هکرهای درستکار برای تغییرات ظریفی که بر روی یک باگ 19 ساله در این شبکه اجتماعی ایجاد کرده بودند جایزه داد. این باگ به طور بالقوه میتوانست برای سرقت حساب های کاربری استفاده شود. محققان هشدار دادند در حالی که مشکل امنیتی این شبکه اجتماعی برطرف شده است، با این حال، بسیاری از وب سایت های اصلی همچنان در معرض آسیب هستند.

این شبکه اجتماعی اعلام نکرد که به هانوی بوک، جورج سوموروفسکی و کریگ یانگ برای تحقیقات خود چه مقدار جایزه پرداخت کرده است. آنها نیز مبلغ دریافتی خود را اعلام نکرده اند، هرچند آنها روز سه شنبه در پستی که در وبلاگ خود منتشر کرده اند این حمله هکری را "ROBOT Attack" یا حمله رباتی نامیدند. آنها تعداد زیادی از وبسایت ها را پیدا کردند - تقریبا یک سوم از 100 دامنه برتر در رتبه بندی الکسا – که هنوز نسبت به این حمله هکری آسیب پذیرند. این حمله ابتدا توسط متخصص رمزگشایی Daniel Bleichenbacher ایجاد شده بود، که نقاط ضعف در رمزگذاری تعدادی از وب سایت های پرکابرد را آشکار کرد. این رمزگذاری ها مبتنی بر پروتوکل های RSA و Secure Socket Layer (SSL) که از سال 1998 مورد استفاده قرار می گیرند بوده است.



در حمله هکری Bleichenbacher، مهاجم می توانست به طور مداوم به ارسال رمزنگاری ciphertexts (متن ساده رمزگذاری شده که مانند ترکیبی تصادفی از حروف و ارقام به نظر می رسد) به یک سرور اقدام کند. سرور ممکن است با توجه به اعتبار متن رمزنگاری به هر درخواست پاسخ درست یا نادرست بدهد. این بدان معنی بود که امکان تعیین رمزنگاری قانونی کاربر بدون دسترسی به کلید خصوصی و یا کلید وب سایت وجود داشت. پس از آن هکر باید تعداد زیادی از درخواست ها را به یک وب سرور ارسال کند تا متن رمزنگاری درست را برای دستیابی موفق به دست آورد (یعنی موفق به کسب توافق برای اشتراک گذاری اطلاعات بین کاربر و سرور بر روی خطوط رمزگذاری شده گردد).

در جایی که سایت ها اصلا این مشکل را حل نکرده باشند، یک هکر می تواند از این نقطه ضعف برای انجام یک حمله مستقیم هکری و قرار دادن یک snoop site بین کاربر و سرور وب سوء استفاده کند. پس از آن آنها می توانند اطلاعاتی از قبیل کلمات عبور کاربران را اصطلاحا استراق سمع کنند. آلن وودوارد، متخصص مشهور رمزنگاری و استاد بخش علوم رایانه دانشگاه Surrey گفته است:" اگر این حملات قابل انجام باشد، در این صورت هر چیزی که فکر می کنید به طور ایمن به فیس بوک ارسال می کنید، اساسا ایمن نیست.".

برای اثبات اینکه یک حمله هکری به فیس بوک قابل انجام بود، محققان حمله Bleichenbacher را به روز رسانی کردند تا قبل از امضای پیام با کلید خصوصی گواهینامه HTTPS سایت Facebook.com، آن را موثرتر کنند. این بدان معناست که آنها می توانند به طور موثر وب سایت را جعل کنند و در عین حال مشروع به نظر برسند، اما بوک به فوربس گفت که یک هکر بایستی کاملا سریع باشد تا بتواند این حمله را با موفقیت انجام دهد.


باگ امنیتی فیس بوک حل شد اما سایر وب سایت ها در معرض حمله قرار دارند.

با وجود همه مسائل، فیس بوک این مشکل را در ماه اکتبر حل کرد. یکی از سخنگویان در بیانیه ای گفت: "ما از محققانی که ما را متوجه این مساله کردند سپاسگزاریم. ما به سرعت مسئله را حل کردیم. این مشکل توسط گروهی از مشتریان به ما اطلاع داده شد و در تست ها یا ممیزی های خارجی یافت نشد. ما از اینکه آیا از این مسئله سوء استفاده شده است یا خیر اطلاعی نداریم. ما به محققانی که در زمینه حل این مشکل فعالیت کردند در قالب برنامه پرداخت جوایز رفع حفره های امنیتی مبلغی به عنوان جایزه پرداخت کردیم. ما همچنین به محققان کمک کردیم تا بیشتر در مورد تاثیر این مسئله بر روی سایر خدمات در سراسر وب تحقیق کنند. "

بر اساس اظهارات بوک در حقیقت، در حالی که فیس بوک این موضوع را در ماه اکتبر رفع کرد، بسیاری دیگر از سایت ها احتمالا همچنان آسیب پذیر هستند. وی گفت: "سایت های عمده ای وجود دارند که تا کنون اقدام به رفع این مشکل امنیتی نکرده اند، با وجود اینکه ما هفته ها پیش به آنها اعلام کردیم، اما هنوز تصمیم نداریم اسامی آن ها را اعلام کنیم." پی پال، سایت دیگری است که محققان ادعا می کردند نسبت به حمله رباتی آسیب پذیر است اما تا زمان انتشار این مطلب هنوز به درخواست اظهار نظر در این مورد پاسخ نداده است.

تعداد زیادی از فن آوری های وب سرور نیز توسط محققان در این زمینه اعلام شده است. آنها یک لیست مفید تهیه کرده اند تا کسانی که نگران آسیب پذیری وب سایت خود نسبت به این حمله هستند کمک کنند. برای مثال، سیسکو مشاوره ای برای محصولات بی شماری که تحت تاثیر حملات قرار گرفته اند، منتشر کرده است.



آلن وودوارد گفته است: حمله Bleichenbacher جدید نیست، به همین دلیل شگفت آور است که چگونه، به خصوص در چنین سیستم های سطح بالایی دوباره ظاهر می شود.

متیو گرین، متخصص رمزنگاری و استادیار موسسه امنیت اطلاعات جان هاپکینز، گفت: اجرای این حملات سخت است، اما اگر شما به نقطه دسترسی Wi-Fi یا برخی از کابل های ارتباطی مهم دسترسی داشته باشید می توانید این حملات را انجام دهید. وی افزود: در عمل احتمالا این حمله اجازه نظارت جمعی را نمی دهد، زیرا این حملات آهسته هستند اما می تواند اجازه دسترسی به اهداف محدود را بدهد.


facebook

hack

robot attack

فیس بوک

هک

هکر

حمله

حمله رباتی

ربات

رمزنگاری

هک فیس بوک

اکانت فیس بوک

هک اکانت فیس بوک

هک اکانت

باگ فیس بوک

حفره امنیتی